Las amenazas aumentan, y nadie es más consciente de ello que los jefes de seguridad de la información (CISO). Entre sus múltiples preocupaciones, los CISOs están cada vez más preocupados por el impacto de las violaciones de datos y/o privacidad. Saben que los ataques provienen de nuevas y diversas fuentes (cibercriminales o personas con información privilegiada, por ejemplo). Para ellos esto es preocupante: el 63% dice que adelantarse a los atacantes es una batalla constante y el costo es insostenible.
El modelo clásico de defensa por capas, que está basado en un castillo, con su perímetro definido, un número reducido de puntos de entrada y salida y un conocimiento cierto y limitado de la ubicación de las “joyas de la corona”, está obsoleto. Hoy en día, los requisitos de seguridad tienen más en común con el sistema de transporte de tu ciudad: un perímetro distribuido, cientos de puntos de entrada y salida, una miríada de terceros que soportan la infraestructura y decenas de miles de conexiones punto a punto.
Sin embargo, sí comparten una cosa: las amenazas de personas internas, malintencionadas o no. Para las empresas hoy en día, las amenazas internas pueden ser un empleado descontento o uno que simplemente no es lo suficientemente cuidadoso en lo que respecta a la ciberseguridad. Todo ello subraya la necesidad de que la seguridad fluya a través de toda la organización, si se quiere que sea eficaz.
A medida que los miembros de los directorios son cada vez más conscientes de esta necesidad y se informan al respecto, solicitan actualizaciones más frecuentes (principalmente trimestrales, según mis conversaciones con los CISOs). Pero aquí está el problema: hay una desconexión fundamental entre las métricas que los CISOs tienen que mostrarles y lo que los miembros de la junta directiva realmente necesitan saber.
Entonces, ¿cómo codificar, comunicar y gestionar el informe del CISO moderno en términos que la junta directiva (o los líderes de la junta directiva) puedan entender?
Por lo general, la junta directiva oye hablar del número de intentos de phishing bloqueados, de las vulnerabilidades sin parchear clasificadas por niveles de riesgo y de los eventos generados en la herramienta de prevención de pérdida de datos. Pero esas métricas no ayudan a los líderes a entender el riesgo o a tomar las decisiones correctas sobre las inversiones en seguridad. Es necesario evolucionar los informes de cientos de métricas operativas a docenas y de ahí a decenas de métricas de riesgo, hasta llegar a las métricas clave que el directorio necesita para saber realmente qué está pasando, qué se necesita y qué hay que financiar.
Métricas de primer nivel
Hay nueve preguntas que los líderes senior de cualquier organización deberían plantear a sus líderes de seguridad para generar esas métricas de primer nivel, incluyendo:
1. Postura de riesgo: ¿Cuál es nuestro contexto de amenazas (por ejemplo, los riesgos más graves para nuestro sector, las novedades y su procedencia)? ¿En qué medida comprendemos nuestro riesgo de seguridad y cómo cuanti- fi camos nuestra comprensión de una manera útil para la toma de decisiones? ¿En qué medida estamos gestionando el riesgo (más allá del número de intentos de phishing bloqueados)?
2. Efi cacia operativa: ¿Cuál es la efi cacia de nuestras operaciones de seguridad y cómo la medimos? ¿Estamos obteniendo los conocimientos esperados? ¿Estamos mejorando la visibilidad?
3. Estrategia e iniciativas: ¿Priorizamos/procedemos con los proyectos clave? ¿Están seguros nuestros clientes/ ciudadanos? ¿Ajustamos nuestra estrategia a medida que aprendemos?
El siguiente paso es codifi car el panorama del CISO con un dashboard ejecutivo, respaldado por los KPIs adecuados, y en un formato que pueda articularse de forma sencilla.
La pregunta principal para este paso es sencilla: Si tienes 20 minutos con la junta directiva, ¿qué vas a comunicar? Se debe tener en cuenta que un objetivo secundario es la educación en general: ayudar a los líderes a entender qué es importante medir y por qué, y cómo estos factores infl uyen en los presupuestos y las prioridades.
La obtención de informes a nivel de la junta directiva (Directorio o C-Level) puede tener enormes implicancias para los presupuestos, las inversiones y la toma de decisiones. Y justo a tiempo, ya que el volátil panorama de las amenazas en muchos casos significa que los CISOs están encontrando que los procesos presupuestarios anuales son inadecuados. Por lo tanto, los CISOs deben crear confi anza y conseguir que los líderes se comprometan y entiendan su perspectiva sobre la misión y la visión de la seguridad.
El secreto está en utilizar métricas sencillas para demostrar el valor, en términos que la junta directiva y las audiencias no técnicas puedan entender.
